1.1.4 商用密码应用与安全性评估

1.概述

当今世界，网络空间已成为与陆、海、空、天同等重要的人类“第五空间”。网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、国家安全的新战场。密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑，是国家安全的重要战略资源，也是国家实现安全可控信息技术体系弯道超车的重要突破口。

近年来，国内外大规模数据泄露事件频发，尤其是国际国内安全形势的变化，使国家、企业和个人层面做好网络与信息安全的必要性更加突出，对网络与信息安全的要求日趋严格，对使用密码技术来保护网络安全也提出了更高要求。但是国内密码应用形势并不乐观。一是应用不广泛，密码行业尚处于产业规模化发展的初期阶段，许多企业、开发人员的密码应用意识相对薄弱。2018年，商用密码应用安全性评估联合委员会对一万余个等保三级及以上的信息系统进行普查，结果显示，超过75%的系统没有使用密码。二是应用不规范，普查中对第一批118个重要领域的信息系统进行安全性测评发现，不符合规范的比例高达85%。三是密码应用不安全，目前仍存在大量使用已被证明不安全的加密算法（如RSA 1024、MD5）的情况。

为解决当前密码应用存在的突出问题，国家颁布实施了《网络安全法》《密码法》《网络安全审查办法》《国家政务信息化项目建设管理办法》等一系列法律法规，对密码应用安全性评估提出了要求，希望通过密码应用安全性评估来促进商用密码的使用和管理规范。

商用密码应用与安全性评估（简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性和有效性进行评估，包括规划阶段的方案评审和建设、运行阶段的安全评估。

密码是国家重要战略资源，是保障网络与信息安全的核心技术和基础支撑。密码工作是党和国家的一项特殊工作，直接关系到国家政治安全、经济安全、国防安全和信息安全。新时代密码工作面临着许多新的机遇和挑战，担负着更加繁重的保障和管理任务。

密评的对象是采用商用密码技术、产品和服务集成建设的网络与信息系统。密评的目标是通过对商用密码产品的正确、有效应用，确保网络信息系统的数据安全，而通过密码技术确保网络信息系统中各用户的身份安全，则是确保网络信息系统安全和数据安全的重要抓手。密评结果是项目规划立项、申报财政性资金、建设验收的必备材料。

2.发展历程

2015年3月，中共中央办公厅、国务院办公厅提出要求：“建立健全密码应用安全性评估审查制度，重点提升密码检测能力，建立分类分级评估审查机制，做好安全性审查工作”。

2018年2月，GM/T 0054—2018《信息系统密码应用基本要求》发布，作为密评核心标准，对于三级系统的要求如下。

• 实施阶段，方案需组织专家评审。

• 运行前，经密评机构评估，方可投入运行。

• 投产后，每年密评。

• 国家密码管理局开始公开受理密评机构申请。

2018年8月，中共中央办公厅、国务院办公厅再次明确要求。

• 2022年全国范围内测评认证体系基本搭建。

• 提出47项重点任务，第40项为“完善密码应用安全性评估审查制度”。

2018年年底，国家密码管理局组织的118家机构完成密评。

2019年年初，各地密码管理部门制订本省密评计划，原则上测评不少于10个系统，密码局专项统一招标；同时上报台账。

2019年5月，网络安全等级保护（等保2.0）正式发布，在GB/T 22239—2019中明确要求：设计内容应包含密码技术相关内容，并形成配套文件。

2019年10月，国密协调小组对专项建设提出指示，要求加强密码应用安全评估能力建设；第二批试点开始，62家申请机构600余人参与。

2019年10月，《中华人民共和国密码法》发布。

2020年，第一批密评机构名单公布。

2021年，第二批密评机构名单公布。

培育原则：“总量控制、科学布局、择优选取、培育辅导、行政许可”。为提高评测机构“含金量”，坚持“严进”，设置较高准入要求，引入竞争和评审机制。其流程为：申报遴选、考察认定、发布目录、开展试点测评、提升机构能力、总结试点经验、完善规定、扩大试点。